Водич корак по корак за подешавање ССЛ/ТЛС сертификата на Томцат серверу.
Један од основних задатака за обезбеђивање Томцат-а је конфигурисање ССЛ сертификата, тако да је веб апликација доступна преко ХТТПС-а.
Постоји много начина да се то постигне.
- Можете прекинути ССЛ на балансеру оптерећења
- Имплементирајте ССЛ на ЦДН нивоу
- Користите веб сервере као што су Апацхе, Нгинк, итд. испред и имплементирајте ССЛ тамо
Међутим, ако не користите ништа од горе наведеног или користите ово као фронт-енд или морате да примените ССЛ директно у Томцат-у, следеће ће вам помоћи.
У овом чланку ћемо урадити као што је доле.
- Генеришите ЦСР (захтев за потписивање сертификата)
- Увезите сертификат у датотеку складишта кључева
- Омогућите ССЛ у Томцат-у
- Конфигуришите ТЛС протокол
- Промените Томцат да слуша на 443 порту
- Тестирајте Томцат на ССЛ рањивост
Почнимо…
Преглед садржаја
Припрема за ССЛ/ТЛС сертификат
Први корак би био да се генерише ЦСР и да га потпише дипломирани орган. Користићемо услужни програм кеитоол за управљање сертификатима.
- Пријавите се на Томцат сервер
- Идите на путању за инсталацију томцата
- Направите фасциклу под називом ссл
- Извршите команду да бисте креирали складиште кључева
keytool -genkey -alias domainname -keyalg RSA -keysize 2048 -keystore filename.jks
Постоје две променљиве у горњим командама које бисте можда желели да промените.
нпр.
[[email protected] ssl]# keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks Enter keystore password: Re-enter new password: What is your first and last name? [Unknown]: bloggerflare.com What is the name of your organizational unit? [Unknown]: Blogging What is the name of your organization? [Unknown]: Geek Flare What is the name of your City or Locality? [Unknown]: What is the name of your State or Province? [Unknown]: What is the two-letter country code for this unit? [Unknown]: Is CN=bloggerflare.com, OU=Blogging, O=Geek Flare, L=Unknown, ST=Unknown, C=Unknown correct? [no]: yes Enter key password for <bloggerflare> (RETURN if same as keystore password): [[email protected] ssl]#
Обратите пажњу на питање о имену и презимену. Мислим да је ово мало обмањујуће. То није ваше име, већ име домена које желите да обезбедите.
Једном када унесете све информације, креираће датотеку складишта кључева у тренутном радном директоријуму.
Следеће би било генерисање новог ЦСР-а са новокреираним складиштем кључева са наредбом испод.
keytool -certreq -alias bloggerflare -keyalg RSA -file bloggerflare.csr -keystore bloggerflare.jks
Ово ће креирати ЦСР који треба да пошаљете ауторитету за сертификацију да бисте га потписали. Ако се играте, размислите о коришћењу БЕСПЛАТНОГ провајдера сертификата, иначе идите на премиум.
Потписао сам сертификат и наставићу са увозом у складиште кључева помоћу наредбе испод.
- Увозни роот сертификат даје провајдер
keytool -importcert -alias root -file root -keystore bloggerflare.jks
- Увозни средњи сертификат
keytool -importcert -alias intermediate -file intermediate -keystore bloggerflare.jks
Напомена: без увоза роот & интермедиате, нећете моћи да увезете сертификат домена у складиште кључева. Ако имате више од једног међупроизвода, морате их све увести.
- Увезите сертификат домена
keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare
и добићете потврду да је инсталиран.
Одговор сертификата је инсталиран у складиште кључева
Одлично, тако да је складиште кључева сертификата сада спремно. Пређимо на следећи корак.
Ако сте нови у ССЛ-у и желите да сазнате више, упишите се на овај онлајн курс – ССЛ/ТЛС операције.
Омогућите ССЛ у Томцат-у
Под претпоставком да сте још увек пријављени на Томцат сервер, идите у фасциклу цонф
- Направите резервну копију датотеке сервер.кмл
- Идите на <Цоннецтор порт=”8080″ протоцол=”ХТТП/1.1″ одељак и додајте ред
SSLEnabled="true" scheme="https" keystoreFile="ssl/bloggerflare.jks" keystorePass="chandan" clientAuth="false" sslProtocol="TLS"
- Не заборавите да промените име датотеке и лозинку складишта кључева са својим
- Поново покрените томцат и требало би да видите да је Томцат доступан преко ХТТПС-а
Свеет!
Стандардни ХТТПС порт
Зашто?
Па, ако погледате горњи снимак екрана, приступам Томцату преко 8080 са хттпс што није стандардно и још неколико разлога.
- Не желите да тражите од корисника да користе прилагођени порт
- Прегледач ће дати упозорење пошто је сертификат издат на име домена без порта
Дакле, идеја је да натерате Томцат да слуша на 443 порту тако да му се може приступити преко хттпс:// без броја порта.
Да бисте то урадили, уредите сервер.кмл помоћу свог омиљеног уређивача
- Идите на <Порт конектора=”8080″
- Промените порт са 8080 на 443
- Требало би да изгледа овако
<Connector port="443" protocol="HTTP/1.1" connectionTimeout="20000" SSLEnabled="true" scheme="https" keystoreFile="ssl/bloggerflare.jks" keystorePass="chandan" clientAuth="false" sslProtocol="TLS" redirectPort="8443" />
- Поново покрените Томцат и приступите својој апликацији помоћу хттпс без икаквог броја порта
Импресивно, то је успех!
ССЛ/ТЛС тест рањивости
На крају, извршићемо тест како бисмо се уверили да није рањив на претње на мрежи.
Постоји много онлајн алата о којима сам овде говорио, а овде ћу користити ССЛ Лабс.
- Иди на ССЛ Лабс и унесите УРЛ да бисте започели тест
И ЗЕЛЕНО је – оцена.
Међутим, увек је добра идеја да померите извештај надоле и видите да ли пронађете неку рањивост и да је поправите.
То је било све за данас.
Надам се да ће вам ово помоћи да сазнате процедуру обезбеђивања Томцат-а помоћу ССЛ/ТЛС сертификата. Ако сте заинтересовани да сазнате више, топло бих препоручио ово наравно.